KÀra lÀsare, först och frÀmst vill jag pÄpeka att jag som invÄnare i Tyskland i första hand beskriver situationen i detta land. Kanske Àr situationen radikalt annorlunda i ditt land.
Den 17 december 2019 publicerades information pÄ Citrix Knowledge Center-sidan om en kritisk sÄrbarhet i produktlinjerna Citrix Application Delivery Controller (NetScaler ADC) och Citrix Gateway, populÀrt kÀnd som NetScaler Gateway. Senare hittades Àven en sÄrbarhet i SD-WAN-linjen. SÄrbarheten pÄverkade alla produktversioner frÄn 10.5 till nuvarande 13.0 och tillÀt en obehörig angripare att exekvera skadlig kod pÄ systemet, vilket praktiskt taget gjorde NetScaler till en plattform för ytterligare attacker pÄ det interna nÀtverket.
Samtidigt med publiceringen av information om sÄrbarheten publicerade Citrix rekommendationer för att minska risken (Workaround). En fullstÀndig stÀngning av sÄrbarheten utlovades först i slutet av januari 2020.
Allvaret i denna sÄrbarhet (nummer CVE-2019-19781) var . Enligt SÄrbarheten pÄverkar mer Àn 80 000 företag vÀrlden över.
Möjlig reaktion pÄ nyheten
Som ansvarig person antog jag att alla IT-proffs med NetScaler-produkter i sin infrastruktur gjorde följande:
- implementerade omedelbart alla rekommendationer för att minimera risken som anges i artikel CTX267679.
- kontrollerade om brandvÀggsinstÀllningarna vad gÀller tillÄten trafik frÄn NetScaler mot det interna nÀtverket.
- rekommenderas att IT-sÀkerhetsadministratörer uppmÀrksammar "ovanliga" försök att komma Ät NetScaler och, om nödvÀndigt, blockerar dem. LÄt mig pÄminna dig om att NetScaler vanligtvis finns i DMZ.
- utvÀrderade möjligheten att tillfÀlligt koppla bort NetScaler frÄn nÀtverket tills mer detaljerad information om problemet erhÄlls. Under förjulshelgerna, semestrar etc. skulle detta inte vara sÄ smÀrtsamt. Dessutom har mÄnga företag ett alternativt Ätkomstalternativ via VPN.
Vad hÀnde sedan?
TyvÀrr, som det kommer att bli klart senare, ignorerades ovanstÄende steg, som Àr standardmetoden, av de flesta.
MÄnga specialister som Àr ansvariga för Citrix-infrastrukturen fick veta om sÄrbarheten först den 13.01.2020 januari XNUMX . De fick reda pÄ nÀr ett stort antal system under deras ansvar Àventyrades. Det absurda i situationen nÄdde den grad att de bedrifter som var nödvÀndiga för detta kunde vara fullstÀndigt .
Av nÄgon anledning trodde jag att IT-specialister lÀser utskick frÄn tillverkare, system som anförtrotts dem, vet hur man anvÀnder Twitter, prenumererar pÄ ledande experter inom sitt omrÄde och Àr skyldiga att hÄlla sig à jour med aktuella hÀndelser.
Faktum Àr att i mer Àn tre veckor ignorerade mÄnga Citrix-kunder tillverkarens rekommendationer. Och Citrix kunder inkluderar nÀstan alla stora och medelstora företag i Tyskland, sÄvÀl som nÀstan alla statliga myndigheter. Först och frÀmst pÄverkade sÄrbarheten statliga strukturer.
Men det finns nÄgot att göra
De vars system har Àventyrats behöver en fullstÀndig ominstallation, inklusive byte av TSL-certifikat. Kanske kommer de Citrix-kunder som förvÀntade sig att tillverkaren skulle vidta mer aktiva ÄtgÀrder för att eliminera den kritiska sÄrbarheten pÄ allvar leta efter ett alternativ. Vi mÄste erkÀnna att Citrix svar inte Àr uppmuntrande.
Fler frÄgor Àn svar
FrÄgan uppstÄr, vad gjorde de mÄnga partners till Citrix, platina och guld? Varför dök den nödvÀndiga informationen upp pÄ sidorna hos vissa Citrix-partners först under den tredje veckan av 3? Det Àr uppenbart att högbetalda externa konsulter ocksÄ sov sig igenom denna farliga situation. Jag vill inte förolÀmpa nÄgon, men en partners uppgift Àr i första hand att förhindra att problem uppstÄr, och inte att erbjuda = sÀlja hjÀlp med att eliminera dem.
Faktum Àr att denna situation visade det verkliga tillstÄndet inom IT-sÀkerhetsomrÄdet. BÄde anstÀllda vid företags IT-avdelningar och konsulter hos Citrix-partnerföretag borde förstÄ en sanning: om det finns en sÄrbarhet mÄste den elimineras. Tja, en kritisk sÄrbarhet mÄste elimineras omedelbart!
KĂ€lla: will.com
